Sicherheitsforscher haben kürzlich eine böswillige Kampagne aufgedeckt, die SEO-Vergiftung verwendet, um potenzielle Opfer zum Herunterladen der BATLOADER-Malware zu verleiten. Die verwendeten Angreifer erstellten bösartige Websites, die mit Schlüsselwörtern beliebter Softwareprodukte gefüllt waren, und benutzte eine Suchmaschinenoptimierungsvergiftung, um sie in den Suchergebnissen höher erscheinen zu lassen. Mandiant-Forscher beobachteten auch eine clevere Umgehungstechnik, die sich auf mshta.exe stützte, Dabei handelt es sich um ein Windows-eigenes Dienstprogramm, das zum Ausführen von Microsoft HTML-Anwendungsdateien entwickelt wurde (HTA).
Ein weiteres aktuelles Beispiel für Malware, die SEO-Poisoning verwendet, um verteilte Benutzer zu infizieren der bekannte Raccoon Infostealer. Diese Kampagne kam mit suchmaschinenoptimierten bösartigen Websites, die in den Google-Ergebnissen einen hohen Rang einnahmen. Diese Tricks nutzten die Hacker auch auf einem YouTube-Kanal mit Videos über Waren, oder raubkopierte Software.
SEO Poisoning liefert die BATLOADER-Malware
Wie für die aktuelle BATLOADER-Malware-Kampagne, Die Hacker verwendeten „kostenlose Installation von Produktivitäts-Apps“ oder „kostenlose Software-Entwicklungstools-Installation“ als SEO-Schlüsselwörter, um Opfer dazu zu bringen, kompromittierte Websites zu besuchen und ein bösartiges Installationsprogramm herunterzuladen, die legitime Software enthält, die mit der Malware gebündelt ist. Es sollte beachtet werden, dass die BATLOADER-Malware während des Softwareinstallationsprozesses gelöscht und ausgeführt wird.
Laut Mandiants Bericht, „Diese erste BATLOADER-Kompromittierung war der Beginn einer mehrstufigen Infektionskette, die den Angreifern einen Halt in der Zielorganisation verschafft.“ Die Angreifer verwendeten auch legitime Tools wie PowerShell, Msiexec.exe, und Mshta.exe, um eine Erkennung durch Sicherheitsanbieter zu vermeiden.
Eines der Elemente des Angriffs ähnelt der Exploit CVE-2020-1599, ein schwerwiegender Fehler in Google Chrome, der letztes Jahr gemeldet wurde:
Ein bemerkenswertes Beispiel, das in der Angriffskette gefunden wurde, war eine Datei namens, „AppResolver.dll“. Dieses DLL-Beispiel ist eine interne Komponente des von Microsoft entwickelten Microsoft Windows-Betriebssystems, aber mit bösartigem VBScript, das so eingebettet ist, dass die Codesignatur gültig bleibt. Das DLL-Beispiel führt das VBScript nicht aus, wenn es alleine ausgeführt wird. Aber wenn mit Mshta.exe ausgeführt, Mshta.exe findet und führt das VBScript ohne Probleme aus.
Dieses Problem ähnelt am ehesten CVE-2020-1599, Die PE-Authenticode-Signatur bleibt gültig, nachdem HTA-unterstützte Skripte angehängt wurden, die von einem beliebigen Softwareentwickler signiert wurden. Diese PE+HTA mehrsprachig (.hta-Dateien) kann über Mshta.exe ausgenutzt werden, um Sicherheitslösungen zu umgehen, die auf Microsoft Windows-Codesignaturen beruhen, um zu entscheiden, ob Dateien vertrauenswürdig sind. Dieses Problem wurde als CVE-2020-1599 gepatcht.
Mehr zur vielseitigen Infektionskette lesen Sie in der ursprüngliche Bericht.